論文の概要: NODLINK: An Online System for Fine-Grained APT Attack Detection and Investigation

• arxiv url: http://arxiv.org/abs/2311.02331v1
• Date: Sat, 4 Nov 2023 05:36:59 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-25 13:45:54.895948
• Title: NODLINK: An Online System for Fine-Grained APT Attack Detection and Investigation
• Title（参考訳）: NODLINK: きめ細かいAPT攻撃検出と調査のためのオンラインシステム
• Authors: Shaofei Li, Feng Dong, Xusheng Xiao, Haoyu Wang, Fei Shao, Jiedong Chen, Yao Guo, Xiangqun Chen, Ding Li,
• Abstract要約: NodLinkは、検出粒度を犠牲にすることなく高い検出精度を維持する最初のオンライン検出システムである。 そこで本研究では,APT攻撃検出における従来の手法よりも高速な,メモリ内キャッシュ,効率的な攻撃スクリーニング手法,および新しい近似アルゴリズムを提案する。
• 参考スコア（独自算出の注目度）: 15.803901489811318
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Advanced Persistent Threats (APT) attacks have plagued modern enterprises, causing significant financial losses. To counter these attacks, researchers propose techniques that capture the complex and stealthy scenarios of APT attacks by using provenance graphs to model system entities and their dependencies. Particularly, to accelerate attack detection and reduce financial losses, online provenance-based detection systems that detect and investigate APT attacks under the constraints of timeliness and limited resources are in dire need. Unfortunately, existing online systems usually sacrifice detection granularity to reduce computational complexity and produce provenance graphs with more than 100,000 nodes, posing challenges for security admins to interpret the detection results. In this paper, we design and implement NodLink, the first online detection system that maintains high detection accuracy without sacrificing detection granularity. Our insight is that the APT attack detection process in online provenance-based detection systems can be modeled as a Steiner Tree Problem (STP), which has efficient online approximation algorithms that recover concise attack-related provenance graphs with a theoretically bounded error. To utilize STP approximation algorithm frameworks for APT attack detection, we propose a novel design of in-memory cache, an efficient attack screening method, and a new STP approximation algorithm that is more efficient than the conventional one in APT attack detection while maintaining the same complexity. We evaluate NodLink in a production environment. The open-world experiment shows that NodLink outperforms two state-of-the-art (SOTA) online provenance analysis systems by achieving magnitudes higher detection and investigation accuracy while having the same or higher throughput.
• Abstract（参考訳）: 先進的永続的脅威(APT)攻撃は現代企業を悩ませ、大きな損失をもたらした。 これらの攻撃に対抗するため、研究者はシステムエンティティとその依存関係をモデル化するために、証明グラフを使用してAPT攻撃の複雑でステルス的なシナリオをキャプチャする手法を提案する。 特に、攻撃の検出を加速し、財政的損失を減らすために、タイムラインや限られたリソースの制約の下でAPT攻撃を検知し、調査するオンライン証明ベースの検知システムが必要である。 残念ながら、既存のオンラインシステムは通常、検出の粒度を犠牲にして計算の複雑さを減らし、10万以上のノードを持つ証明グラフを生成し、セキュリティ管理者が検出結果を解釈する上での課題を提起する。 本稿では,検出粒度を犠牲にすることなく高い検出精度を維持する最初のオンライン検出システムであるNodLinkの設計と実装を行う。 我々の知見は、オンライン証明に基づく検出システムにおけるAPT攻撃検出プロセスは、理論的に有界な誤差で簡潔な攻撃関連前処理グラフを復元する効率的なオンライン近似アルゴリズムを持つSteiner Tree Problem (STP)としてモデル化できるということである。 APT攻撃検出のためのSTP近似アルゴリズムフレームワークを利用するために、同じ複雑さを維持しつつ、従来のAPT攻撃検出よりも効率的であるインメモリキャッシュ、効率的な攻撃スクリーニング方法、および新しいSTP近似アルゴリズムを提案する。 実運用環境でのNodLinkの評価を行った。 オープンワールド実験は、NodLinkが2つの最先端(SOTA)オンライン証明分析システムより優れており、同じまたは高いスループットを持ちながら、高い検出精度と調査精度を達成していることを示している。

関連論文リスト

• Slot: Provenance-Driven APT Detection through Graph Reinforcement Learning [26.403625710805418]
  先進的永続脅威(Advanced Persistent Threats、APT)は、長期にわたって検出されていない能力によって特徴づけられる高度なサイバー攻撃である。 本稿では,前駆グラフとグラフ強化学習に基づく高度なAPT検出手法であるSlotを提案する。 Slotの卓越した精度、効率、適応性、そしてAPT検出の堅牢性を示し、ほとんどのメトリクスは最先端の手法を超越している。
  論文  参考訳（メタデータ） (2024-10-23T14:28:32Z)
• Hack Me If You Can: Aggregating AutoEncoders for Countering Persistent Access Threats Within Highly Imbalanced Data [4.619717316983648]
  Advanced Persistent Threats (APTs) は高度で標的となるサイバー攻撃であり、システムへの不正アクセスと長期にわたって検出されないように設計されている。 AE-APTは,基本的なものからトランスフォーマーベースのものまで,一連のAutoEncoderメソッドを特徴とする,深層学習に基づくAPT検出ツールである。 その結果,AE-APTは競合他社に比べて検出速度が有意に高く,異常検出・ランク付け性能が優れていた。
  論文  参考訳（メタデータ） (2024-06-27T14:45:38Z)
• FaultGuard: A Generative Approach to Resilient Fault Prediction in Smart Electrical Grids [53.2306792009435]
  FaultGuardは、障害タイプとゾーン分類のための最初のフレームワークであり、敵攻撃に耐性がある。 本稿では,ロバスト性を高めるために,低複雑性故障予測モデルとオンライン逆行訓練手法を提案する。 本モデルでは,耐故障予測ベンチマークの最先端を最大0.958の精度で上回っている。
  論文  参考訳（メタデータ） (2024-03-26T08:51:23Z)
• Kairos: Practical Intrusion Detection and Investigation using Whole-system Provenance [4.101641763092759]
  警告グラフは、システムの実行履歴を記述した構造化監査ログである。 証明に基づく侵入検知システム(PIDS)の開発を促進する4つの共通次元を同定する。 4次元のデシラタを同時に満足させる最初のPIDSであるKAIROSについて述べる。
  論文  参考訳（メタデータ） (2023-08-09T16:04:55Z)
• TBDetector:Transformer-Based Detector for Advanced Persistent Threats with Provenance Graph [17.518551273453888]
  本稿では,ATT攻撃検出のための変圧器を用いた高度な脅威検出手法TBDetectorを提案する。 出現グラフは、豊富な歴史的情報を提供し、歴史的な相関能力に強力な攻撃を与える。 提案手法の有効性を評価するため,5つの公開データセットを用いて実験を行った。
  論文  参考訳（メタデータ） (2023-04-06T03:08:09Z)
• Illusory Attacks: Information-Theoretic Detectability Matters in Adversarial Attacks [76.35478518372692]
  エプシロン・イリューソリー(epsilon-illusory)は、シーケンシャルな意思決定者に対する敵対的攻撃の新たな形態である。 既存の攻撃と比較して,エプシロン・イリューソリーの自動検出は極めて困難である。 以上の結果から, より優れた異常検知器, 効果的なハードウェアおよびシステムレベルの防御の必要性が示唆された。
  論文  参考訳（メタデータ） (2022-07-20T19:49:09Z)
• Unsupervised Abnormal Traffic Detection through Topological Flow Analysis [1.933681537640272]
  悪意のある流れの トポロジカル接続コンポーネントは 利用されていない 本稿では,教師なし異常検出アルゴリズムにおける接続グラフ機能の利用を容易にするための簡易な手法を提案する。
  論文  参考訳（メタデータ） (2022-05-14T18:52:49Z)
• Online Adversarial Attacks [57.448101834579624]
  我々は、実世界のユースケースで見られる2つの重要な要素を強調し、オンライン敵攻撃問題を定式化する。 まず、オンライン脅威モデルの決定論的変種を厳格に分析する。 このアルゴリズムは、現在の最良の単一しきい値アルゴリズムよりも、$k=2$の競争率を確実に向上させる。
  論文  参考訳（メタデータ） (2021-03-02T20:36:04Z)
• No Need to Know Physics: Resilience of Process-based Model-free Anomaly Detection for Industrial Control Systems [95.54151664013011]
  本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。 トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
  論文  参考訳（メタデータ） (2020-12-07T11:02:44Z)
• Bayesian Optimization with Machine Learning Algorithms Towards Anomaly Detection [66.05992706105224]
  本稿では,ベイズ最適化手法を用いた効果的な異常検出フレームワークを提案する。 ISCX 2012データセットを用いて検討したアルゴリズムの性能を評価する。 実験結果から, 精度, 精度, 低コストアラームレート, リコールの観点から, 提案手法の有効性が示された。
  論文  参考訳（メタデータ） (2020-08-05T19:29:35Z)
• SADet: Learning An Efficient and Accurate Pedestrian Detector [68.66857832440897]
  本稿では,一段検出器の検出パイプラインに対する一連の最適化手法を提案する。 効率的な歩行者検出のための単発アンカーベース検出器(SADet)を形成する。 構造的には単純だが、VGA解像度の画像に対して最先端の結果と20ドルFPSのリアルタイム速度を示す。
  論文  参考訳（メタデータ） (2020-07-26T12:32:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。